2018年区块链安全研究报告.pdf

2018 年 8 月1区块链安全研究报告2018 年 8 月目录1.区块链安全行业综述 - 31.1 区块链行业 - 31.2 区块链安全性 - 52.行业安全问题- 72.1 行业安全分类 - 72.1.1 区块链自身机制 - 72.1.2 区块链生态安全 - 82.1.3 区块链使用安全 - 92.2 区块链安全事件 - 102.2.1 安全事件统计 - 102.2.2 重大安全事件摘要 - 143.行业中坚力量分析 - 153.1 知道创宇 - 153.2 链安科技 - 163.3 慢雾科技 - 173.4 360 区块链安全 - 193.5 Certik -194.行业安全板块 - 204.1 交易所钱包安全审计 - 204.2 链安全审计 - 224.3 智能合约安全审计 - 234.4 安全顾问 - 244.5 安全运营 - 242区块链安全研究报告2018 年 8 月4.6 威胁情报 - 254.7 漏洞赏金 - 265.攻防技术分析 - 285.1 钓鱼攻击 - 285.2 拒绝服务攻击 - 305.3 双花攻击 - 335.3.1 种族攻击 - 345.3.2 芬妮攻击 - 345.3.3 Vector76 攻击 - 355.3.4 替代历史攻击 - 355.3.5 51%算力攻击 - 355.4 整数溢出攻击 - 375.5 女巫攻击 - 406.区块链安全行业应用 - 416.1 使用身份验证保护边界设备安全 - 416.2 改进机密性和数据完整性 - 426.3 保护隐私信息 - 436.4 改进甚至代替公钥基础设施 - 446.5 更安全的 DNS - 456.6 减少 DDoS 攻击 - 467.未来展望 - 478.参考文献 - 483区块链安全研究报告2018 年 8 月1.区块链安全行业综述1.1 区块链行业区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算技术的新应用模式。作为比特币的底层技术，它通过时间戳将区块首尾相连形成一种链式数据结构，并以密码学方式保证的不可篡改和不可伪造的分布式账本。自比特币诞生以来，区块链行业发展已有近十个年头。在这段过程中，第一家加密货币交易所上线，Paypal、Bitpay 等支付商与比特币厂商建立合作关系，自此加密数字货币顺理成章的融入了整个世界的金融体系中。随着区块链技术进一步成熟、生态进一步扩大、用户人数以及应用场景进一步发展，各种围绕着数字货币的应用以及基础设施也不断地丰富完善。目前最大的基础设施主要包括以下六类：钱包、交易所、服务性网站以及矿商、区块链应用、数字货币为主题的商城等等。4区块链安全研究报告2018 年 8 月基础设施的发展与完善相当于为用户开辟了一条更宽阔的路径，更便利的体验能够吸引更多的用户参与到这个市场，更多的用户又能激励更多的服务商提供服务。与此同时，区块链技术本身也在进一步向前推进，2017 年更是借助以太坊在智能合约上的优势带动了整个行业的大爆发。到目前为止，基于各种应用的参与方式，区块链主要分为公有链、联盟链、私有链。除了我们接触较多的公有链及链上的应用，联盟链与私有链也需要安全技术保驾护航。 公有链 联盟链 私有链公有链：世界上任何个体或者团体都可以发送交易，且交易能够获得区块链的有效确认，任何人都可以参与共识过程。公有链是最早的区块链，也是目前共识最广泛的区块链。是指像比特币区块链这种完全去中心化不受任何机构控制的区块链。联盟链：是指有若干组织或机构共同参与管理的区块链，每个组织或机构控制一个或多个节点，共同记录交易数据，并且只有这些组织和机构能够对联盟链中的数据进行读写和发送交易。私有链：也就是完全私有区块链（Fully private blockchains），是指写入权限完全在一个组织手里的区块链，所有参与到这个区块链中的节点都会被严格控制。5区块链安全研究报告2018 年 8 月1.2 区块链安全性2018 年 1 月 7 日，整个加密数字货币总市值达到历史最高的 8000 亿美元的市值。基于区块链行业仍处于一个早期阶段，很多安全漏洞尚未被发现以及部分技术人员的安全防护工作并不是很成熟，巨大利益的诱惑下吸引了互联网行业大量的攻击者。共识机制 系统安全加密算法 使用安全区块链安全吗？通常在描绘比特币特点的时候，人们会将安全性加入其中，这主要是因为比特币的加密算法 SHA256 保证了私钥的难攻破性；另一方面区块链中拥有更多的节点，保证了即便单一节点被攻破，仍然有其他节点保护整个数据库的安全性与完整性。但这两种特点并不能代表区块链安全的全部内容，区块链作为一个庞大的生态，用户作为市场的参与者与投资者，需要对数字货币的买卖与使用。这涉及到从钱包、交易所、私钥保存到共识机制、协议及整个系统的安全性，在这些方面区块链安全问题依然没能得到很好的解决。6区块链安全研究报告2018 年 8 月随着区块链技术的广泛应用，随之而来的安全问题也愈发增多。由于区块链技术拥有全球性、去中心化、匿名性等一系列特点，目前在资本行业被大量使用，其中用于投资的场景也越来越多。正因为这一系列的特性与场景结合，随之而来的各类攻击也开始不断出现。主要体现在从之前的区块链底层安全技术研究曝光，发展到后来越来越多的虚拟货币被盗，交易所被攻击等事件。而这些只是目前被暴露的一部分，随着区块链技术所产生的价值越来越高，所面临的攻击将持续增加。频发的安全问题严重影响了行业参与者的数字资产安全，这会影响投资者的信心与体验，行业中的各项基础设施也无法快速稳步的推进；同时对于行业外的人进入到区块链行业也会有很大的影响，从而导致整个行业陷入沉寂。因此，在行业良性发展的同时，针对行业中安全问题频发的板块，通过技术手段做到治理与防范，是这个行业的重中之重。7区块链安全研究报告2018 年 8 月2.行业安全问题2.1 行业安全分类区块链行业发展到现在，安全事故频频发生，经统计主要集中在以下三个板块：区块链自身机制、区块链生态安全、区块链使用安全。2.1.1 区块链自身机制由区块链自身机制所引发的安全问题主要体现在三个方面：加密算法的安全性、协议安全性、系统安全性。 系统安全L 协议安全加密算法安全密码算法的安全性主要是指基于区块链的公钥算法以及哈希算法，比特币的算法是 SHA256，通过数学难度来保证私钥不被破解。不过随着计算能力的提高以及量子计算机的发展，加密算法存在着被破解的可能性，不过目前来看可能性较低。8区块链安全研究报告2018 年 8 月协议安全性主要是指该区块链所依托的协议层存在着被攻击的可能性。以比特币为例，矿工通过算力竞争来打包交易记录，当一个节点能够控制全网 51%的算力，那它就有能力推翻原有已确认过的交易，使得恶意双花成为可能。目前各大加密货币算力比较集中，前十大矿池大约占 80%以上的算力，由于大市值加密货币发动算力攻击会对发动者本人造成更大的损失，在博弈论的基础上不太会发生，而小市值低算力保护的币种则会遭受大算力的威胁，比如前段时间遭受算力攻击的BTG。系统安全性是指区块链的智能合约在创建以及编写的过程中会存在一些安全漏洞，这些漏洞会给黑客留下攻击的空间。2.1.2 区块链生态安全目前涉及区块链安全的几大生态主要包括交易所、矿池、钱包、服务性网站等，我们在使用加密货币的过程中难免会将自己的资产托管到这些环节中，而这些涉及到数字货币交易与存储的地点也是以下几种攻击的重灾区。DNS劫持DDoS攻击交易所钱包被盗9区块链安全研究报告2018 年 8 月交易所钱包被盗：主要是指中心化的交易所和钱包，去中心化交易所及钱包由于私钥在使用者手中，属于使用安全序列。通常中心化的交易所及钱包主要有冷钱包及热钱包，若私钥保存不当都存在被黑客窃取的可能。另一种被盗情形是指黑客通过修改交易所后台数据，给自己账户增加币然后提币的方式盗取。交易所、矿池、网站被 DDoS 攻击：即通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。该攻击主要目的是为了拒绝合法用户正常使用网络。区块链面对 DDoS 攻击通常采用手续费的方式让矿工优先打包高手续费的交易。而链外相关的生态所搭建的网站中，也有可能遭受类似的攻击。DNS 劫持：是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的 IP 地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能访问或访问的是假网址。2.1.3 区块链使用安全使用安全是指个人在使用和交易数字货币的过程中遭遇的数字货币私钥、账号被窃取的情形。造成这种情况的主要原因在于被钓鱼、植入木马、私钥保管不删、被欺诈等情况造成。